Instale o Carbon Black Event Forwarder
Introdução
Neste documento, vamos explicar o processo de configuração do encaminhador de eventos do Carbon Black (CB) para que envie telemetria de pontos finais para o Google Security Operations.
Guia de início rápido
A um nível elevado, vamos seguir o guia de início rápido do encaminhador de eventos da CB oficial (veja aqui) com alguns itens da seguinte forma:
- Instale o CB Event Forwarder diretamente no servidor de respostas da CB ou noutra VM.
- Certifique-se de que os eventos pretendidos a enviar para o Google SecOps estão configurados no servidor de resposta da CB.
- Configure alguns campos na configuração do CB Event Forwarder para ativar o envio de eventos para o Google SecOps
Configure a resposta de CB
Configure a resposta do CB para exportar os eventos desejados. Consulte o artigo Configure a resposta de CB da documentação oficial do encaminhador de eventos de CB para mais contexto.
Por exemplo, se quiser ativar a exportação de eventos de ligação de rede através de um encaminhador de eventos de CB que também é executado no servidor de respostas de CB, faça o seguinte:
# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
# * procstart (or process)
# * procend
# * childproc
# * moduleload
# * module
# * filemod
# * regmod
# * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn
Configure o encaminhador de eventos da CB
Configure o encaminhador de eventos da CB para exportar dados através de HTTP(S) para a API Chronicle Ingestion. Consulte o artigo Configure o cb-event-forwarder da documentação oficial do CB Event Forwarder para ver mais informações.
São necessárias várias flags para configurar o CB Event Forwarder. Vamos fornecer-lhe uma configuração com essas flags.
- Faça uma cópia de segurança da configuração oficial do encaminhador de eventos da CB:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
- Atualize os seguintes campos em cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http
// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>
// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod
// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.
// Do not send an empty update.
upload_empty_files=false
// Update the bundle size to 1MB.
bundle_size_max=1048576
// Update HTTP post template.
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}
Lembre-se de substituir
Iniciar e parar o encaminhador de eventos da CB
Consulte a secção Iniciar e parar o serviço da documentação oficial do encaminhador de eventos da CB.
Vídeos de procedimentos
Como depurar se o encaminhador de eventos do CB não for iniciado
Os erros de arranque são registados em /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.
Como saber se o encaminhador de eventos da CB está a enviar dados para o Google SecOps
Se o CB Event Forwarder estiver a enviar dados para o Google SecOps, deve ver o seguinte no registo. O registo pode ser encontrado em /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log
time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."
Informações de contacto
Perguntas técnicas, incluindo ajuda sobre estas instruções neste documento: forwarder@chronicle.security
Perguntas gerais: product@chronicle.security
Perguntas sobre vendas: sales@chronicle.security
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.